admin/geedge-jira
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
master
geedge-jira/md/OSS-239.md
hello 795018e8e5 attachment link
2025-09-14 22:27:11 +00:00

355 lines
9.6 KiB
Markdown
Raw Permalink Blame History

This file contains invisible Unicode characters

This file contains invisible Unicode characters that are indistinguishable to humans but may be processed differently by a computer. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

# APP特征整理测试-安然
| ID | Creation Date | Assignee | Status |
|----|----------------|----------|--------|
| OSS-239 | 2022-06-17T12:22:19.000+0800 | 安然 | 完成 |
---
核实、整理目前咱们获得的APP特征系统192.168.44.72app ID8092-8172。如果系统里的APP和咱们最近提取新疆APP重复的进行整合一下。ID8092-8172范围内的APP均需要核实特征配置情况并测试结果填写测试记录表。
1、要求每一个环节都得做到严谨。
2、同一个Signature中不允许跨协议类型使用Attributes作为ConditionTCP/IP/General Attributes除外。
3、参照数据包采集与特征提取 
4、根据APPid循序填写整理测试记录表 [https://docs.geedge.net/pages/viewpage.action?pageId=71797774]**anran** commented on *2022-06-20T18:08:12.064+0800*:
总80个应用,今日整理了52个应用到confluence,
[https://docs.geedge.net/pages/viewpage.action?pageId=71797774]
计划明日将剩余28个应用整理好并下载
---
**anran** commented on *2022-06-21T18:03:55.838+0800*:
测试了应用8092-8107
下载了8145-8152部分OA到windows
 
---
**anran** commented on *2022-06-22T18:09:25.287+0800*:
应用特征已经全部检查一遍,待新建有阻断效果的特征并导出特征json配置
---
**anran** commented on *2022-06-24T16:51:08.828+0800*:
2022年6月23日
1.整理72tsg平台应用的时候遇到不能导出内置ip的问题,暂时无法在288平台新建应用特征
2.重新捕获ios应用软件 QQ QQ邮箱 QQ音乐 QQ浏览器 腾讯会议 企业微信 微信 数据包并分析特征 .在分析数据包过程中发现问题“测试应用特征符合http.host和ssl.handshake.extensions_server_name匹配的阻断条件,但是从捕获的数据包来看,并未阻断,而是建立连接后有数据交互" 
!image-2022-06-24-16-50-41-444.png!
!image-2022-06-24-16-48-57-500.png!
 
---
**anran** commented on *2022-06-24T16:55:16.963+0800*:
成功阻断ios 应用 QQ邮箱 QQ音乐
测试腾讯会议时候发现之前发现的问题依然存在,可以复现,已经将此问题上报给研发,待回复
 
---
**anran** commented on *2022-06-24T17:23:01.192+0800*:
成功阻断 QQ浏览器
通过捕获数据包进行分析,添加tcp.payload 特征
User-Agent: mttlite
User-Agent: MQQBrowser
QQ-S-ZIP: gzip
 
---
**anran** commented on *2022-06-27T18:07:23.108+0800*:
1.对应用QQ 进行抓包分析,添加tcp.payload 特征 
Q-Guid:
Q-UA:
Q-UA2:
QQ-S-ZIP: gzip
User-Agent: QQ
Host: circlevideo2.photo.qq.com  
但还没有成功阻断
-2.上周提交的问题研发给出建议:配置tcp_payload特征条件,条件内容为: conn.wemeet.tencent.com-
-已经对应用tencentmeeting 特征作出修改,重新验证发现问题依然存在,已将重新捕获的数据包提交至研发,等待答复-
---
**anran** commented on *2022-06-28T17:11:08.063+0800*:
1.对ios应用QQ进行抓包分析,添加tcp.payload 特征
486f73743a20737164642e6d796170702e636f6d    Host: sqdd.myapp.com
557365722d4167656e743a205151    User-Agent: QQ
486f73743a20712e716c6f676f2e636e    Host: q.qlogo.cn
486f73743a207775702e696d74742e71712e636f6d3a38303830    Host: wup.imtt.qq.com:8080
512d477569643a    Q-Guid:
512d55413a20    Q-UA: 
512d5541323a20    Q-UA2: 
51512d532d5a49503a20677a6970    QQ-S-ZIP: gzip
512d417574683a20    Q-Auth: 
486f73743a2063646e696d672e33672e71712e636f6d    Host: cdnimg.3g.qq.com
但还没有阻断成功
2.验证研发给出建议:配置tcp_payload特征条件,条件内容为: conn.wemeet.tencent.com
已经对应用tencentmeeting 特征作出修改,重新验证,测试通过
3.成功阻断ios应用  58同城,知乎,腾讯会议,微信
---
**anran** commented on *2022-06-29T17:36:18.568+0800*:
1、对ios 应用QQ进行抓包分析,添加tcp.payload特征
2a2e717069632e636e    *.qpic.cn
2a2e70686f746f2e71712e636f6d    *.photo.qq.com
2a2e70686f746f2e73746f72652e71712e636f6d    *.photo.store.qq.com
2a2e716c6f676f2e636e    *.qlogo.cn
2a2e73746f72652e71712e636f6d    *.store.qq.com
717069632e636e    qpic.cn
2a2e74656e63656e742e636f6d    *.tencent.com
74656e63656e742e636f6d    tencent.com
但还没有阻断成功
2、对ios应用 阿里巴巴Alibaba 进行抓包分析,添加tcp.payload特征
2a2e74616f62616f2e636f6d    *.taobao.com
6163732e6d2e74616f62616f2e636f6d acs.m.taobao.com
557365722d4167656e743a20416c6962616261    User-Agent: Alibaba
682d6164617368782e75742e74616f62616f2e636f6d    h-adashx.ut.taobao.com
676d2e6d6d737461742e636f6d    gm.mmstat.com
486f73743a20616d64632e6d2e74616f62616f2e636f6d    Host: amdc.m.taobao.com
2a2e6d6d737461742e636f6d    *.mmstat.com
但还没有阻断成功
另外发现将特征内容gm.mmstat.com配置到域名+tcp.payload后,抓包中可以看到会话没有被阻断,还可以继续会话,已经创建工单给研发 https://jira.geedge.net/browse/OMPUB-542,等待研发答复
3、成功阻断ios应用 美团,boss直聘,wifi万能钥匙
其中对boss直聘,添加了tcp.payload特征
557365722d4167656e743a20424f5353   User-Agent: BOSS
2a2e7a686970696e2e636f6d    *.zhipin.com
---
**anran** commented on *2022-06-30T17:51:48.574+0800*:
1、对ios 应用全民K歌进行抓包分析,添加tcp.payload特征
2a2e61706463646e2e74632e71712e636f6d    *.apdcdn.tc.qq.com   
61706463646e2e74632e71712e636f6d    apdcdn.tc.qq.com
2a2e717069632e636e    *.qpic.cn
2a2e70686f746f2e71712e636f6d    *.photo.qq.com
2a2e70686f746f2e73746f72652e71712e636f6d    *.photo.store.qq.com
2a2e716c6f676f2e636e    *.qlogo.cn
2a2e73746f72652e71712e636f6d    *.store.qq.com
7069632e636e    qpic.cn
但还没有阻断成功
2、验证研发的答复https://jira.geedge.net/browse/OMPUB-542,确认多个应用包含同一个特征最大上限不能超过8个,如果超过8个,后面应用引用的效果会无效
3、为阻断alibaba,筛选之前重复的域名配置
4、因平台不能删除域名问题,需要将原应用导出json,修改后重新导入平台才可以特殊删除域名(问题已经上报)
---
**anran** commented on *2022-07-01T17:58:57.051+0800*:
1、为阻断ios应用alibaba,筛选之前重复域名的配置,下列域名在多个app中引用
acs.m.taobao.com
.taobao.com
gw.alicdn.com
g.alicdn.com
*.mmstat.com
gm.mmstat.com
因需要一边测试一边导出json,修改后重新添加,还未完全筛选完
2、导出新疆app特征,每一个应用生成一个json文件,将文件标题,内容大写替换成小写,整理成列表
---
**anran** commented on *2022-07-04T18:01:23.108+0800*:
1、对ios 应用企业微信进行抓包分析,添加tcp.payload特征
776f726b2e77656978696e2e71712e636f6d    work.weixin.qq.com
77776d656574696e672e77656978696e2e71712e636f6d    wwmeeting.weixin.qq.com
6b662e77656978696e2e71712e636f6d    kf.weixin.qq.com
696d706f72742e71712e636f6d    import.qq.com
2a2e71796170692e77656978696e2e71712e636f6d    *.qyapi.weixin.qq.com
2a2e7274786170702e636f6d    *.rtxapp.com
2a2e776f726b2e77656978696e2e636f6d    *.work.weixin.com
776f726b2e77656978696e2e636f6d     work.weixin.com
71796170692e77656978696e2e71712e636f6d    qyapi.weixin.qq.com
2a2e776f726b2e77656978696e2e71712e636f6d    *.work.weixin.qq.com
646f632e77656978696e2e71712e636f6d    doc.weixin.qq.com
6f70656e2e7765636f6d2e74656e63656e742e636f6d    open.wecom.tencent.com
但还没有阻断成功
2、对ios 应用QQ进行抓包分析但还没有阻断成功
 
---
**anran** commented on *2022-07-05T16:56:50.391+0800*:
1、对ios 应用QQ进行抓包分析但还没有阻断成功
2、对ios 应用全民K歌进行抓包分析,添加
udp_dst.port 8000
tcp_dst.port 14000
tcp_dst.ip等特征
但还没有阻断成功
---
**anran** commented on *2022-07-06T17:57:35.954+0800*:
1、对ios 应用QQ进行抓包分析但还没有阻断成功
尝试通过分析oicq协议获取特征
---
**anran** commented on *2022-07-07T18:00:33.798+0800*:
编写python脚本提取数据包payload,进行比对分析(还未完成)
---
**niuxiang** commented on *2022-07-11T09:58:48.271+0800*:
本周集中处理新疆部分有效果和无效果的APP需要提供特征json每天更新进度
https://docs.geedge.net/pages/viewpage.action?pageId=71801232
---
**anran** commented on *2022-07-11T17:49:37.128+0800*:
QQ IOS 已经下载安装添加特征,但未完全阻断,android已经下载安装待测试
微信电话本 android已经下载安装待测试
千牛 IOS 已经下载安装添加特征,但未完全阻断,android已经下载安装待测试
派派 IOS 已经成功阻断,android已经下载安装待测试
YY语音 IOS 已经下载安装添加特征,但未完全阻断,android已经下载安装待测试
探探 IOS 已经成功阻断,android已经下载安装待测试
---
**anran** commented on *2022-07-12T17:46:32.203+0800*:
QQ IOS 已经下载安装添加特征,但未完全阻断,android已经下载安装待测试
微信电话本 android已经下载安装待测试
千牛 IOS 已经下载安装添加特征,但未完全阻断,android已经下载安装待测试
派派 IOS 已经成功阻断,android已经成功阻断
YY语音 IOS 已经下载安装添加特征,但未完全阻断,android已经下载安装待测试
探探 IOS 已经成功阻断,android已经成功阻断
---
# Attachments
Attachment: image-2022-06-24-16-48-57-500.png
![image-2022-06-24-16-48-57-500.png](https://gfwleak.exec.li/admin/geedge-jira/raw/branch/master/attachment/29096/image-2022-06-24-16-48-57-500.png)
Attachment: image-2022-06-24-16-50-41-444.png
![image-2022-06-24-16-50-41-444.png](https://gfwleak.exec.li/admin/geedge-jira/raw/branch/master/attachment/29097/image-2022-06-24-16-50-41-444.png)
Reference in New Issue View Git Blame Copy Permalink